Attendez-vous à ce que la FCA fasse prochainement des annonces sur l’un des thèmes les plus actuels et les plus prioritaires, à savoir la résilience opérationnelle.
En collaboration avec la Prudential Regulation Authority et la Banque d’Angleterre, la Financial Conduct Authority a publié en juillet un document de discussion qui a été clôturé le 5 octobre. Les entreprises de services financiers ont été invitées à proposer des solutions pour gérer les risques susceptibles de nuire gravement à leurs activités et pour minimiser l’impact sur les clients.
Les régulateurs estiment que la résilience opérationnelle constitue un risque pour la fourniture de services essentiels dont dépend l’économie, menace la viabilité des entreprises et porte préjudice aux consommateurs et aux autres entreprises.
Les régulateurs souhaitent que les entreprises soient mieux préparées à résister à des incidents perturbateurs, à les absorber et à s’en remettre. Elles souhaitent également que les entreprises gèrent efficacement les incidents, en particulier lorsque les clients sont touchés.
Définir le problème
La résilience opérationnelle est définie comme « la capacité des entreprises et du système financier dans son ensemble à absorber les chocs et à s’y adapter, plutôt que d’y contribuer ». Les régulateurs souhaitent qu’elle fasse partie intégrante de la stratégie globale des entreprises afin qu’elles puissent continuer à fournir des « fonctions économiques critiques » à l’économie britannique et à leurs clients.
Les banques sont la cible privilégiée des travaux de réglementation dans ce domaine, car les pannes des services bancaires en ligne, en particulier, entraînent des perturbations généralisées. Barclays et le groupe RBS ont été récemment dans la ligne de mire, lorsque des clients n’ont pas pu accéder à leurs comptes lors d’incidents survenus en septembre. Le Treasury Select Committee a demandé aux banques de fournir des détails complets sur les causes de ces événements et sur la manière dont les clients seront indemnisés.
En outre, le comité de politique financière de la Banque d’Angleterre fixe des normes concernant la rapidité avec laquelle les banques doivent être en mesure de rétablir les services vitaux à la suite d’une cyberattaque et il effectuera également des tests de résistance pour vérifier que ces normes peuvent être respectées.
Mais la résilience opérationnelle est nécessaire dans l’ensemble du secteur des services financiers et le vol de données, par exemple, affectant un assureur ou une société de cartes de crédit, serait considéré avec la même sévérité.
Quelles sont les exigences ?
Tout d’abord, les régulateurs s’attendent à ce que la résilience opérationnelle soit une priorité pour les conseils d’administration et les cadres supérieurs, en plus de leurs conseillers en matière de risque opérationnel. Ils devraient également s’efforcer de convenir d’une « tolérance d’impact », c’est-à-dire d’une limite supérieure pour l’impact sur les services commerciaux qu’une entreprise est prête à tolérer à la suite d’une perturbation opérationnelle « grave mais plausible ». Cette tolérance devrait être exprimée sous la forme d’un ensemble de paramètres spécifiques relatifs à la durée, au volume ou à la nature d’une perturbation. Les entreprises doivent également
- planifier les événements perturbateurs et s’efforcer de les prévenir
- se concentrer sur l’impact plus large des événements perturbateurs, et pas seulement sur le rétablissement des systèmes et des processus
- mettre en correspondance les produits et les services avec les systèmes et les processus sous-jacents
- identifier l’impact probable sur les clients et les acteurs du marché ainsi que sur la viabilité de l’entreprise
- hiérarchiser les services commerciaux les plus importants et identifier les systèmes et les processus qui les soutiennent, qu’ils soient internes à l’organisation ou qu’ils soient externalisés
- veiller à ce qu’une stratégie de communication efficace soit mise en place en cas de perturbation afin d’aider les employés et les clients.
Couvrir toutes les bases
Les régulateurs affirment que les événements perturbateurs sont inévitables, mais que les entreprises susceptibles d’être touchées doivent se préparer et être aussi résilientes que possible. Il est clair que la protection contre une cyberattaque et sa gestion sont considérées comme les éléments les plus évidents de la liste de contrôle du gestionnaire du risque opérationnel en raison de la grande dépendance à l’égard de la technologie et des données, mais d’autres événements potentiels pourraient inclure une panne pour des raisons non malveillantes, des conditions météorologiques difficiles telles que des inondations, des incendies ou une pandémie de grippe.
Les régulateurs n’ont pas apporté de changements immédiats aux processus de supervision. Mais une fois que les réactions au document de discussion auront été correctement évaluées, il est presque certain que de nouvelles règles seront adoptées. Il peut y avoir une volonté de s’engager avec le secteur pour améliorer la résilience opérationnelle et prendre en compte les commentaires, mais ce domaine est également considéré comme trop important pour permettre le maintien du statu quo actuel, c’est pourquoi les gestionnaires du risque opérationnel doivent s’assurer que l’activité est maintenant intensifiée.